Форум Рутокен — Как использовать токен для нескольких уч. записей (WinSRV2016)?

Re: Как использовать токен для нескольких уч. записей (WinSRV2016)?

null@example.com (Vladimir Ivanov) — Mon, 21 Feb 2022 11:04:39 +0000

Добрый день!

Вы пробовали переключать дефолтный сертификат?

Re: Как использовать токен для нескольких уч. записей (WinSRV2016)?

null@example.com (Тимофей) — Fri, 18 Feb 2022 15:08:58 +0000

Vladimir Ivanov пишет:

Как выпускали сертификат? Через Aktiv Rutoken CSP или Microsoft Base CSP?

В настройках шаблона указывал Aktiv Rutoken CSP

Re: Как использовать токен для нескольких уч. записей (WinSRV2016)?

null@example.com (Vladimir Ivanov) — Fri, 18 Feb 2022 15:06:07 +0000

Как выпускали сертификат? Через Aktiv Rutoken CSP или Microsoft Base CSP?

Re: Как использовать токен для нескольких уч. записей (WinSRV2016)?

null@example.com (Тимофей) — Fri, 18 Feb 2022 14:41:58 +0000

Vladimir Ivanov пишет:

Тимофей пишет:
Неужели токен можно использовать только под одну уч. запись? Я определенно где-то туплю.
Добрый день! Winlogon умеет аутентифицировать только по сертификату, который является дефолтным.
Поэтому перед аутентификацией придется устанавливать сертификат в качестве дефолтного.
Но вообще использовать один носитель для учеток разных пользователей - не очень хорошая идея.
Лучше выдать каждому свой токен.

Так пользователь то один, это я.
Просто все учетные записи имеют определенных доступ к разным сервисам инфраструктуры (естественно кроме учетных записей, имеющих доступ ко всей инфраструктуре (Ent и Domain админы)), сеть защищена еще одним фактором. Токен нужен для исключения возможности авторизации в системе из вне.

Попробовал сменить на другую уч. запись. результат тот же =(

Re: Как использовать токен для нескольких уч. записей (WinSRV2016)?

null@example.com (Vladimir Ivanov) — Fri, 18 Feb 2022 14:37:33 +0000

Тимофей пишет:

Неужели токен можно использовать только под одну уч. запись? Я определенно где-то туплю.

Добрый день! Winlogon умеет аутентифицировать только по сертификату, который является дефолтным.
Поэтому перед аутентификацией придется устанавливать сертификат в качестве дефолтного.
Но вообще использовать один носитель для учеток разных пользователей - не очень хорошая идея.
Лучше выдать каждому свой токен.

Re: Как использовать токен для нескольких уч. записей (WinSRV2016)?

null@example.com (Тимофей) — Fri, 18 Feb 2022 14:35:31 +0000

Аверченко Кирилл пишет:

Добрый день.
У вас в списке сертификатов при подключении mstsc появляются все сертификаты, которые есть на токене?
Или в списке доступных только один, который указан в Панели Управления Рутокен как "по-умолчанию"?

При подключении через mstsc доступен выбор любого сертификата их тех что были получены, но вне зависимости от выбора подключается через сертификат, который был установлен первым.

Аверченко Кирилл пишет:

Попробуйте поменять настройку в реестре Компьютер\HKEY_LOCAL_MACHINE\SOFTWARE\Aktiv Co.\Rutoken\rtCSP\PP_USER_CERTSTORE на 1.

Поменял, никаких изменений.
Попробовал авторизоваться напрямую в вирт. машину через esxi, результат такой же.

Re: Как использовать токен для нескольких уч. записей (WinSRV2016)?

null@example.com (Аверченко Кирилл) — Fri, 18 Feb 2022 14:29:31 +0000

Добрый день.
У вас в списке сертификатов при подключении mstsc появляются все сертификаты, которые есть на токене?
Или в списке доступных только один, который указан в Панели Управления Рутокен как "по-умолчанию"?
Попробуйте поменять настройку в реестре Компьютер\HKEY_LOCAL_MACHINE\SOFTWARE\Aktiv Co.\Rutoken\rtCSP\PP_USER_CERTSTORE на 1.

Как использовать токен для нескольких уч. записей (WinSRV2016)?

null@example.com (Тимофей) — Fri, 18 Feb 2022 13:59:09 +0000

Добрый день. Прошу по возможности помочь с возникшими трудностями при организации защиты административных учетных записей. Что имеем:
Центр сертификации Windows Server 2016
Создан шаблон для рутокен (скопирован шаблон Smartcard Logon)
Администратор предприятия получил сертификаты (Administrator и Enrollment Agent)
Администратор предприятия в certmgr. msc - Personal - Certificates (All Tasks - Advanced Options - Enroll Behalf Off)
Выбирает сертификат, выбирает пользователя и записывает на токен ключ.

Аутентификация для пользователя на сервере работает нормально, но вот в чем проблема.
Если я на данный токен записываю ключи еще для нескольких пользователей, аутентификация под ними на этом же сервере не проходит. Я выбираю нужного пользователя из смарт карт в mstsc.exe и при подключении автоматом выбирается пользователь, ключ которого я записывал первым.

Неужели токен можно использовать только под одну уч. запись? Я определенно где-то туплю.